Librerías obsoletas y un ecosistema desorganizado: los graves problemas de JavaScript

Siempre que hablamos de seguridad en Internet nos acordamos de Flash Player, y de cómo sus múltiples vulnerabilidades lo han reducido a "sólo" el 10% de las principales webs. Sin embargo, hay otro actor que también suele suscitar muchas críticas como es JavaScript, al que Google le ha declarado la guerra y que lo bloqueará en Gmail.

Ahora mismo, el problema de JavaScript parece que se está agravando. Según se ha publicado en ZDNet, de 133.000 webs escaneadas al menos un 37% de ellas tienen una librería JavaScript con una vulnerabilidad conocida. La Northwestern University ya alertó sobre el problema de cargar versiones antiguas de librerías de JavaScript en las webs en un estudio, pero parece que nadie les hizo mucho caso.

El caso es que los investigadores de Northwestern han vuelto a la carga publicando otro estudio, en el que apuntan que las librerías vulnerables pueden ser "muy peligrosas" bajo las condiciones adecuadas. En el estudio se señala a un antiguo bug de JQuery que se podía explotar usando un ataque de secuencia de comendos entre páginas o XSS.

Así se realizó el estudio

Para preparar el estudio se fijaron en las primeras 75.000 webs de Alexa, y después seleccionaron al azar 75.000 dominios _.com_, asignando 72 librerías diferentes y sus versiones respectivas. En general, un 87% de las webs de Alexa, y un 46,5% de las "punto com" usaban al menos una de las 72 librerías.

Entre los hallazgos del estudio, el 36,7% de JQuery, el 40,1% de Angular, el 86,6% de Handlebars y el 87,3% de YUI usan alguna versión vulnerable. Además, los investigadores hallaron que el 9,7% de las webs incluidas en el estudio usan dos o más versiones vulnerables de una de las librerías.

Sin embargo, es menos probable que las webs más populares utilicen alguna de estas librerías obsoletas. Los investigadores de Northeastern vieron que sólo el 21% de las 100 primeras tenían este problema. Eso no quita para que, en palabras de los investigadores, el ecosistema de JavaScritp sea un completo desastre:

Nuestro hallazgo más serio ha sido encontrar pruebas de que el ecosistema de librerías de JavaScript es complejo, desorganizado y bastante "ad hoc" en lo que a seguridad respecta. No hay bases de datos de vulnerabilidades fiables, no hay listas de correo de seguridad mantenidas por quienes las venden y, en ocasiones, es díficil determinar qué versiones de una librería están afectadas por una falla ya reportada.

Ponerle remedio a estga situación va a llevar mucho tiempo y va a ser una tarea muy difícil, dado que la mayoría de webs usan librerías muy obsoletas, según el estudio.

Vía | ZDNet
En Genbeta | Este exploit camufla un JavaScript en plugins sociales de blogs con WordPress o Joomla

Ver todos los comentarios en https://www.genbeta.com

VER 8 Comentarios

Portada de Genbeta